Migalhas de Peso

Por que a legislação europeia interessa a empresários brasileiros com negócios na internet?

Diante dos reflexos que o GDPR pode produzir sobre negócios já estabelecidos entre empresários brasileiros e europeus, com implicações em contratos, políticas internas e até estrutura de negócios, trata-se de um tema que deve estar na ordem do dia.

25/5/2018

Na virada do milênio, a forma de interação das pessoas com computadores e serviços pela Internet mudou substancialmente, aumentando o fluxo de dados pessoais que circula na Internet. A situação se agravou com o surgimento do Big Data, em que volumes avassaladores de dados são coletados e tratados de maneira constante e em tempo real.

Para lidar com a nova realidade de uso indiscriminado e em larga escala de dados pessoais, a Comunidade Europeia aprovou um novo regramento, denominado General Data Protection Regulation – GDPR, em substituição à diretiva 95/46/CE, que até o momento regulava a proteção de dados pessoais no âmbito na União Europeia. Sendo uma regulação, o GDPR confere uma proteção mais efetiva do que as diretivas (como a diretiva 95/46/CE), por ter força cogente e não depender de leis nacionais dos Estados-Membros para sua eficácia.

O GDPR entra em vigor hoje e prevê novas obrigações aplicadas a sociedades empresárias que coletam ou processam dados pessoais, estejam ou não em território europeu, com vistas a aumentar o controle e a responsabilização por eventuais danos aos cidadãos daquela comunidade. O alcance internacional das regras de proteção aos dados pessoais foi um dos principais nortes que guiaram a elaboração do GDPR.

Toda e qualquer captação de dados pessoais realizada em território europeu de forma regular (ou seja, não pontual) está sujeita às regras do GDPR. Isso se aplica tanto à coleta e tratamento de dados de usuários para fins de publicidade dirigida, quanto à realização de um simples cadastramento de cliente para concretizar uma venda em site de e-commerce.

Objetivamente, empresários brasileiros devem prestar atenção nas regras do GDPR por dois motivos: a partir hoje, fica proibida a transferência de dados entre sociedades europeias e sociedades estrangeiras (inclusive brasileiras), salvo se atendidas condições do GDPR; além disso, empresários que coletem dados pessoais em território europeu ficam obrigados a constituir um representante em um dos Estados-Membros da UE.

Como o Brasil ainda não foi reconhecido pelas autoridades europeias como um país que detém legislação de proteção de dados pessoais adequada1, o fluxo de dados para nosso território dependerá de garantias adequadas a serem fornecidas pelo controlador ou processador das informações (GDPR, Art. 46, 1).

Na prática, salvo se for negociado algum acordo especial entre entidades governamentais brasileiras e europeias, o que ainda não se tem notícia, a opção que se apresenta como menos burocrática para empresários brasileiros é a adoção das chamadas regras vinculativas aplicáveis a sociedades (binding corporate rules), aplicáveis à transferência de dados entre sociedades de um mesmo grupo econômico.

No caso de transferência de dados entre sociedades que não pertençam ao mesmo grupo econômico, outras opções devem ser buscadas, como cláusulas contratuais entre o controlador ou processador de dados em território europeu e o controlador ou processador de dados no Brasil, seguindo os moldes aprovados pelas autoridades europeias, o que inclui a designação de um representante legal na União Europeia para responder às autoridades locais em nome da sociedade brasileira (Art. 27). Nesse caso, o representante deverá estar fisicamente localizado em um dos Estados-Membros da União Europeia e terá o papel de interagir com a Autoridade de Controle, se necessário.

Sociedades que violarem o GDPR poderão receber medidas corretivas como advertências ou ordem de suspensão temporária do tratamento de dados. Nos casos mais graves, penalidades de multa poderão ser aplicadas, esteja o infrator dentro ou fora do território europeu.

Se por um lado a nova regulação europeia confere um nível de proteção às pessoas naturais elevado e sem precedentes, por outro lado haverá um grande impacto – e custo – para que os prestadores de serviços se adaptem às suas regras.

No universo de sociedades empresárias de grande porte, tais custos serão facilmente absorvidos por suas estruturas já complexas. Todavia, no caso de empresas de pequeno porte ou mesmo start ups, o custo para a remodelagem do negócio e, principalmente, para a constituição ou indicação de um representante local, será significativo.

Como uma empresa que deseja prosperar na economia atual não pode abrir mão do uso de big data, soluções criativas certamente serão criadas, sejam jurídicas ou de arquitetura do negócio.

Para a realidade brasileira, espera-se que o Congresso Nacional se sensibilize e aprove uma lei geral de proteção de dados nacional. Há alguns projetos de lei sobre o tema atualmente em tramitação, alguns muito alinhados com as regras do GDPR2, o que poderá levar nosso País a ingressar na seleta lista de países reconhecidos pelas autoridades europeias como possuidores de regras adequadas, o que, automaticamente, afasta as rígidas exigências para a transferência internacional de dados.

Diante dos reflexos que o GDPR pode produzir sobre negócios já estabelecidos entre empresários brasileiros e europeus, com implicações em contratos, políticas internas e até estrutura de negócios, trata-se de um tema que deve estar na ordem do dia.

__________

1 O Brasil ainda não possui uma lei geral de proteção de dados pessoais, embora o Marco Civil de 2014 já tenha representado um significativo avanço nessa seara.

2 Vale destaque para o PL 5.276/16.

__________

*Filipe Fonteles Cabral é sócio do escritório Dannemann Siemsen Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

O Data Protection Officer – DPO

25/5/2018
Migalhas de Peso

O GDPR e a proteção dos dados sensíveis

24/5/2018
Migalhas de Peso

Data Breach: a violação de dados no GDPR

23/5/2018
Migalhas de Peso

A questão do consentimento no GDPR

22/5/2018

Artigos Mais Lidos

Cobrança do IR do doador em adiantamento da herança?

13/11/2024

Diferenças entre doença, incapacidade, invalidez e deficiência

12/11/2024

A PEC da ilusão

13/11/2024

Saiba o que é o CICC - Contrato de Investimento Conversível em Capital Social

12/11/2024

A casa da mãe Joana legislativa – Mistérios da lei 9.514/97

12/11/2024